isa server 2006 2

 

 

ISA server 2006知識點整理

第一章：ISA server2006簡介

         1.　Isa server 的主要功能： 防火牆 、虛擬專用網 、網頁緩存

2.　ISA server 緩存的種類： 正向緩存 、方向緩存 、鏈式緩存 、分佈式緩存

3.　防火牆設置的種類：　Edge Firewall（邊緣防火牆）  、3—Leg Perimeter Firewall （3向外圍防火牆） 、Back-to-Back Perimeter Firewall（背對背外圍防火牆） 、 單一網絡適配器（網卡）

 

對應的網絡拓撲結構如下：

                           

 　 Edge Firewall ：

 

 

 

 

 

 

 

 

 

 

 

 

 

3—Ieg Perimeter Firewall ：

 

 

             Back-to-Back Perimeter Firewall（前端防火牆）：

 

 

 

Back-to-Back Perimeter Firewall（後端防火牆）：

 

 

單一網絡適配器（網卡）：

 

 

４．ISA　server　２００６ 對多重網絡的支持：

 

 

NAT

 

 

 

                                               R                                                                    R

     內部                                                   本地主機                                                                  外部

 

 

 

 

                                       NAT                                            R

                                                                                                      R

 

 

                                 外圍

 

 

 

 

5.ISA server 對數據包的篩選：

 

                                                       1 IP來源與目的地址

                                                        2 TCP來源與目的端口

                                                        3 TCP payload

注意：ISA server 不會篩選MAC地址！

 

6.ISA server 標準版與企業版最大的區別：

企業版擁有如下標準版所不具有的功能：1支持網絡負載均衡(NLB)2緩存陣列路由協議（CARP）3企業級管理

 

第三章：網頁緩存

 

1.       ISA server 同時利用了（內存）與（硬盤）來作爲緩存對象的保存地點。

2.       標準版ISA服務器緩存文件及存儲路徑：C:\urlcache\Dirl.cdat

3.       ISA server可緩存文件的協議的類型： http、https、ftp

4.       那些操作需要重新啓動防火牆服務：1啓用緩存2啓用NLB

 

 

第四章：徹底剖析ISA server 客戶端

1.ISA server 支持的三種客戶端是： 1Web代理客戶端（web代理客戶端是將HTTP、https、FTP請求傳遞給ISA server的連接端口8080）

 2SecureNAT客戶端

3防火牆客戶端（防火牆客戶端是將HTTP請求傳遞給

ISA server的連接端口8080，將非HTTP請求傳遞給ISA server 的連接端口1745。防火牆客戶端默認也是web代理客戶端。防火牆客戶端默認6小時下載一次ISA server服務器配置。）

 

2．三種客戶端的比較：

 

	Web代理客戶端	SecureNAT客戶端	防火牆客戶端
支持的操作系統	所有操作系統	所有操作系統	只支持windows操作系統
支持的網絡協議	HTTP 、HTTPS、FTP	TCP、UDP、HTTP、https、FTP與其他（ping等）	TCP、UDP只winsock應用程序（不支持ping）
是否需要額外安裝軟件	否，但是需要瀏覽器配置	否，但是需要網絡配置（DNS，網關）	是
驗證用戶身份-HTTP	是	只有***客戶端	是
驗證用戶身份-非HTTP	不支援訪問	只有***客戶端	是

 

3．自動發現(WPAD：web proxy AutoDiscovery)：自動發現只支持（web代理客戶端）和（防火牆客戶端）。自動發現需要搭配DNS或DHCP服務器，同時在服務器內需要有一筆名爲WPAD的記錄，用來告訴客戶端哪一臺計算機是WPAD服務器，而WPAD服務器內有兩個用來配置客戶端瀏覽器的自動配置腳本文件，這兩個文件分別是wpad.dat（供Web代理客戶端使用）與wspad.dat(供防火牆客戶端使用)。

 

 

 

 

4．利用DHCP服務器支持自動發現的步驟。P86，重點是步驟5和步驟6。

5．利用DNS服務器支持自動發現。注意，端口一定要是80。

                                                             Wpad+X

      客戶端                                                                                              DNS

 

 

1．域環境 abc.com      wpad.abc.com

2. DNS後綴 xyz.com       wpad.syz.com

3. 無後綴   WPAD        根 .    

 

 

6．用戶身份驗證。

 

	W	S	F
HTTP	√	×	√
非HTTP	×	×	√

 

 

7．選擇適當的客戶端。

 

需求	建議選擇地客戶端
提高網頁的訪問速度	Web代理客戶端
要將假設與內部網路的網站或服務器發佈給因特網的用戶	SecureNAT客戶端
提高網頁訪問速度與訪問Winsock資源	防火牆客戶端
控管客戶端應用軟件與因特網之間的溝通	防火牆客戶端
限制只有身份經過楊正的用戶纔可以訪問網頁	Web代理客戶端或防火牆客戶端

 

 

 

 

第五章：開放訪問因特網與系統監視

 

 

1． P114 協議若是用在訪問規則內，擇“方向”處請選擇“出站”；若是協議用在服務器發佈規則內，則請在“方向”處選擇入站。

 

 

第六章：開放與阻擋實時通信與P2P軟件

 

1． 阻止通信軟件的幾種方式： 1通過端口來阻擋2通過服務器ip地址來阻擋 3通過簽名字符串來阻擋 4通過內容類型來阻擋

2．  禁 QQ

 TCP 443

   UDP 8000

 

 

第七章：開放訪問內部網絡的資源

 

1.       發佈網站服務器場的好處： 負載均衡、容錯

2.       網站服務器場的各個Web服務器必須內容一致，端口一致。

3.       一次發佈多個網站的兩種方法：1多偵聽器 2Web過濾

4.       發佈SSL 網站時應注意：在申請IIS證書時所鍵入的FQDN與發佈網站時填寫的內部站點名稱與發佈網站是填寫的公用名稱三者保持一致。

5.       本章幾個重要實驗：1發佈內部DNS服務器

 2發佈內部網站

 3一次發佈內部多個網站

 4連接轉換

 5發佈內部網站服務器場

 6發佈內部SSL網站

 7發佈內部郵件服務器

 8發佈內部SMTP Relay

 9發佈Exchange OWA網站

 

 

 

 

第九章：架設ISA server 虛擬專用網絡

 

 

1.       ISA server 所支持***協議分爲以下三種：

 

                        PPTP

遠程訪問***所支持

                               L2TP/IPSec（預共享密鑰、證書）  站點對站點***                                      

                               IPSec隧道模式

 

 

2.       使用RADIUS身份驗證時所使用的端口爲：1812；記賬端口爲身份驗證端口加1.

 

3.       建立濟南到青島站點對站點***的過程：

 

1、 將青島分公司的內網定義成遠程站點（名稱：qingdao）

2、 創建遠程站點和內網的網絡規則

3、 創建遠程站點和內網的訪問規則

4、 創建與遠程站點同名的用戶（qingdao）

                                                 5、青島分公司用在濟南ISA 服務器上的創建的qingdao賬戶名與密碼連接濟南的ISA 服務器

 

 

4.       本章幾個重要的實驗：1遠程訪問***（PPTP、L2TP）

   2站點對站點***（PPTP）

   3站點對站點***（L2TP 預共享密鑰、證書）

 

 

 

第十一章：***檢測

 

     

1.       ISA server在檢測到***之後可以採取的幾種措施：

   1發送電子郵件

   2運行指定的程序

   3記錄到windows 事件日誌中

   4停止選擇的服務

   5啓動選擇服務

 

 

 

 

第十二章：遠程管理 ISA Server

 

啓用系統策略中的第2條和第3條策略

 

 

 

第十三章：CARP 與NLB的構建

 

 

1.CARP：緩存陣列路由協議。Carp具備着負載平衡與故障轉移的功能（高效率和高可用性）。

2.NLB：容錯、減輕ISA 服務器負擔

3.實驗：

 

                   1內部網絡均衡

ISA server 2006知識點整理

第一章：ISA server2006簡介

         1.　Isa server 的主要功能： 防火牆 、虛擬專用網 、網頁緩存

2.　ISA server 緩存的種類： 正向緩存 、方向緩存 、鏈式緩存 、分佈式緩存

3.　防火牆設置的種類：　Edge Firewall（邊緣防火牆） 、3—Leg Perimeter Firewall （3向外圍防火牆） 、Back-to-Back Perimeter Firewall（背對背外圍防火牆） 、 單一網絡適配器（網卡）

 

對應的網絡拓撲結構如下：

                           

 　 Edge Firewall ：

 

 

 

 

 

 

 

 

 

 

 

 

 

3—Ieg Perimeter Firewall ：

 

 

             Back-to-Back Perimeter Firewall（前端防火牆）：

 

 

 

Back-to-Back Perimeter Firewall（後端防火牆）：

 

 

單一網絡適配器（網卡）：

 

 

４．ISA　server　２００６ 對多重網絡的支持：

 

 

NAT

 

 

 

                                               R                                                                    R

     內部                                                   本地主機                                                                  外部

 

 

 

 

                                       NAT                                            R

                                                                                                      R

 

 

                                 外圍

 

 

 

 

5.ISA server 對數據包的篩選：

 

                                                       1 IP來源與目的地址

                                                        2 TCP來源與目的端口

                                                        3 TCP payload

注意：ISA server 不會篩選MAC地址！

 

6.ISA server 標準版與企業版最大的區別：

企業版擁有如下標準版所不具有的功能：1支持網絡負載均衡(NLB)2緩存陣列路由協議（CARP）3企業級管理

 

第三章：網頁緩存

 

1.       ISA server 同時利用了（內存）與（硬盤）來作爲緩存對象的保存地點。

2.       標準版ISA服務器緩存文件及存儲路徑：C:\urlcache\Dirl.cdat

3.       ISA server可緩存文件的協議的類型： http、https、ftp

4.       那些操作需要重新啓動防火牆服務：1啓用緩存2啓用NLB

 

 

第四章：徹底剖析ISA server 客戶端

1.ISA server 支持的三種客戶端是： 1Web代理客戶端（web代理客戶端是將HTTP、https、FTP請求傳遞給ISA server的連接端口8080）

 2SecureNAT客戶端

3防火牆客戶端（防火牆客戶端是將HTTP請求傳遞給

ISA server的連接端口8080，將非HTTP請求傳遞給ISA server 的連接端口1745。防火牆客戶端默認也是web代理客戶端。防火牆客戶端默認6小時下載一次ISA server服務器配置。）

 

2．三種客戶端的比較：

 

	Web代理客戶端	SecureNAT客戶端	防火牆客戶端
支持的操作系統	所有操作系統	所有操作系統	只支持windows操作系統
支持的網絡協議	HTTP 、HTTPS、FTP	TCP、UDP、HTTP、https、FTP與其他（ping等）	TCP、UDP只winsock應用程序（不支持ping）
是否需要額外安裝軟件	否，但是需要瀏覽器配置	否，但是需要網絡配置（DNS，網關）	是
驗證用戶身份-HTTP	是	只有***客戶端	是
驗證用戶身份-非HTTP	不支援訪問	只有***客戶端	是

 

3．自動發現(WPAD：web proxy AutoDiscovery)：自動發現只支持（web代理客戶端）和（防火牆客戶端）。自動發現需要搭配DNS或DHCP服務器，同時在服務器內需要有一筆名爲WPAD的記錄，用來告訴客戶端哪一臺計算機是WPAD服務器，而WPAD服務器內有兩個用來配置客戶端瀏覽器的自動配置腳本文件，這兩個文件分別是wpad.dat（供Web代理客戶端使用）與wspad.dat(供防火牆客戶端使用)。

 

 

 

 

4．利用DHCP服務器支持自動發現的步驟。P86，重點是步驟5和步驟6。

5．利用DNS服務器支持自動發現。注意，端口一定要是80。

                                                             Wpad+X

      客戶端                                                                                              DNS

 

 

1．域環境 abc.com      wpad.abc.com

2. DNS後綴 xyz.com       wpad.syz.com

3. 無後綴   WPAD        根 .    

 

 

6．用戶身份驗證。

 

	W	S	F
HTTP	√	×	√
非HTTP	×	×	√

 

 

7．選擇適當的客戶端。

 

需求	建議選擇地客戶端
提高網頁的訪問速度	Web代理客戶端
要將假設與內部網路的網站或服務器發佈給因特網的用戶	SecureNAT客戶端
提高網頁訪問速度與訪問Winsock資源	防火牆客戶端
控管客戶端應用軟件與因特網之間的溝通	防火牆客戶端
限制只有身份經過楊正的用戶纔可以訪問網頁	Web代理客戶端或防火牆客戶端

 

 

 

 

第五章：開放訪問因特網與系統監視

 

 

1． P114 協議若是用在訪問規則內，擇“方向”處請選擇“出站”；若是協議用在服務器發佈規則內，則請在“方向”處選擇入站。

 

 

第六章：開放與阻擋實時通信與P2P軟件

 

1． 阻止通信軟件的幾種方式： 1通過端口來阻擋2通過服務器ip地址來阻擋 3通過簽名字符串來阻擋 4通過內容類型來阻擋

2．  禁 QQ

 TCP 443

   UDP 8000

 

 

第七章：開放訪問內部網絡的資源

 

1.       發佈網站服務器場的好處： 負載均衡、容錯

2.       網站服務器場的各個Web服務器必須內容一致，端口一致。

3.       一次發佈多個網站的兩種方法：1多偵聽器 2Web過濾

4.       發佈SSL 網站時應注意：在申請IIS證書時所鍵入的FQDN與發佈網站時填寫的內部站點名稱與發佈網站是填寫的公用名稱三者保持一致。

5.       本章幾個重要實驗：1發佈內部DNS服務器

 2發佈內部網站

 3一次發佈內部多個網站

 4連接轉換

 5發佈內部網站服務器場

 6發佈內部SSL網站

 7發佈內部郵件服務器

 8發佈內部SMTP Relay

 9發佈Exchange OWA網站

 

 

 

 

第九章：架設ISA server 虛擬專用網絡

 

 

1.       ISA server 所支持***協議分爲以下三種：

 

                        PPTP

遠程訪問***所支持

                               L2TP/IPSec（預共享密鑰、證書） 站點對站點***                                      

                               IPSec隧道模式

 

 

2.       使用RADIUS身份驗證時所使用的端口爲：1812；記賬端口爲身份驗證端口加1.

 

3.       建立濟南到青島站點對站點***的過程：

 

1、 將青島分公司的內網定義成遠程站點（名稱：qingdao）

2、 創建遠程站點和內網的網絡規則

3、 創建遠程站點和內網的訪問規則

4、 創建與遠程站點同名的用戶（qingdao）

                                                 5、青島分公司用在濟南ISA 服務器上的創建的qingdao賬戶名與密碼連接濟南的ISA 服務器

 

 

4.       本章幾個重要的實驗：1遠程訪問***（PPTP、L2TP）

   2站點對站點***（PPTP）

   3站點對站點***（L2TP 預共享密鑰、證書）

 

 

 

第十一章：***檢測

 

     

1.       ISA server在檢測到***之後可以採取的幾種措施：

   1發送電子郵件

   2運行指定的程序

   3記錄到windows 事件日誌中

   4停止選擇的服務

   5啓動選擇服務

 

 

 

 

第十二章：遠程管理 ISA Server

 

啓用系統策略中的第2條和第3條策略

 

 

 

第十三章：CARP 與NLB的構建

 

 

1.CARP：緩存陣列路由協議。Carp具備着負載平衡與故障轉移的功能（高效率和高可用性）。

2.NLB：容錯、減輕ISA 服務器負擔

3.實驗：

 

                   1 NLB 內部網絡均衡

                   2 NLB 外部網路均衡

                   3 CARP

 NLB

                   2 NLB 外部網路均衡

                   3 CARP